SMLOUVA O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ
uzavřená v souladu s ustanovením § 6 zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, v platném znění a ve smyslu čl. 28 nařízení Evropského parlamentu a Rady (EU) 2016/679, obecné nařízení o ochraně osobních údajů („Smlouva“)
SMLUVNÍ STRANY
(1) Název: Nadační fond Zlatý oříšek
se sídlem na adrese Nad Rokoskou 1322/27, Libeň 182 00 Praha 8, IČO: 242 33 722
(„Správce“)
a
(2) Jméno:
bytem na adrese:
datum narození:
(„Zpracovatel“)
(Správce a Zpracovatel společně „Strany“ a každý samostatně „Strana“)
PREAMBULE
(A) Zpracovatel poskytuje Správci služby spočívající v poskytování poradenství při výběru nominovaných do krajského kola soutěže pořádané Správcem, a to na základě vzájemné dohody.
(B) Služby poskytované Zpracovatelem zahrnují aktivity, při kterých zpravidla dochází ke zpracování osobních údajů Zpracovatelem pro Správce ve smyslu nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (dále jen „GDPR“).
(C) Na základě čl. 28 odst. 3 GDPR je Správce povinen uzavřít se Zpracovatelem smlouvu o zpracování osobních údajů, ve které Zpracovatel mimo jiné stanoví předmět a dobu trvání zpracování, povahu a účel zpracování, typ osobních údajů a kategorie subjektů údajů a povinnosti a práva správce.
(D) Strany mají zájem na tom, aby tato Smlouva pokrývala veškerá zpracování osobních údajů, která Zpracovatel provádí pro Správce v rámci vzájemných smluvních vztahů existujících mezi Stranami.
1. ÚČEL SMLOUVY
1.1 Strany se dohodly, že Zpracovatel bude při poskytování Služeb pro Správce ve smyslu čl. 4 odst. 2 GDPR zpracovávat osobní údaje, které Správce Zpracovateli při využívání Služeb zpřístupňuje nebo předává (dále jen „Osobní údaje“) a Zpracovatel tyto Osobní údaje na základě pokynů Správce při poskytování těchto Služeb zpracovává.
1.2 Účelem této Smlouvy je stanovení rozsahu povinností Zpracovatele k zajištění ochrany Osobních údajů při jejich zpracování.
2. PŘEDMĚT SMLOUVY
2.1 Předmětem této Smlouvy je vymezení vzájemných práv a povinností Stran při zpracování Osobních údajů ve smyslu článku 1.1 Smlouvy.
2.2 Tato Smlouva dále stanoví rozsah Osobních údajů, které mají být zpracovávány, účel jejich zpracování a podmínky a záruky na straně Zpracovatele ohledně zajištění technické a organizační bezpečnosti Osobních údajů.
2.3 Zpracovatel se zavazuje zpracovávat Osobní údaje tak, aby neporušil žádné ustanovení GDPR či jiného právního předpisu nebo nezpůsobil skutečnost, která by znamenala porušení GDPR či jiného právního předpisu Správcem. V tomto smyslu se Zpracovatel zavazuje zejména, nikoliv však výlučně, k plnění následujících povinností v rozsahu vymezeném touto Smlouvou:
(a) zpracovávat Osobní údaje podle pokynů Správce, v rozsahu a v souladu s účelem, k němuž mají být Osobní údaje zpracovávány ve smyslu této Smlouvy;
(b) zajistit, aby se osoby oprávněné zpracovávat osobní údaje na základě Smlouvy zavázaly k mlčenlivosti nebo aby se na ně vztahovala zákonná povinnost mlčenlivosti;
(c) přijmout všechna opatření k zabezpečení Osobní údajů dle čl. 32 GDPR;
(d) dodržovat podmínky pro zapojení dalšího zpracovatele dle čl. 28 odst. 2 a 4 GDPR;
(e) být Správci nápomocen při zajišťování souladu s povinnostmi podle čl. 32 až 36 GDPR, a to při zohlednění povahy zpracování a informací, jež má Zpracovatel k dispozici;
(f) poskytnout Správci veškeré informace potřebné k doložení toho, že byly splněny povinnosti stanovené ve Smlouvě, a umožnit audity, včetně inspekcí, prováděné Správcem nebo jiným auditorem, kterého Správce pověřil, a k těmto auditům přispět;
(g) upozornit Správce na nevhodnost pokynů týkajících se zpracování Osobních údajů, zejména tehdy, pokud by provedení takového pokynu vedlo k porušení GDPR nebo jiného právního předpisu.
3. ÚČEL, ROZSAH A DOBA ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ
3.1 Zpracovatel zpracovává pro Správce Osobní údaje v rozsahu nezbytném pro poskytování Služeb a plnění svých dalších povinností dle Smlouvy o poradenství. Zpracovatel není oprávněn Osobní údaje zpracovávat pro žádné jiné účely, než pro účely poskytování Služeb.
3.2 Zpracovatel může dle této Smlouvy zpracovávat Osobní údaje dětí, které podaly přihlášku do soutěže Zlatý oříšek („Subjekty údajů“), pro zpracování jejichž údajů Zpracovatel využívá webového rozhraní poskytovaného Správcem, a to v rozsahu stanoveném v Příloze.
3.3 V případě, že Správce Zpracovateli poskytne nebo Zpracovateli budou jinak v souvislosti s činností pro Správce zpřístupněny i jiné Osobní údaje Subjektů údajů či jiných subjektů, je Zpracovatel povinen zpracovávat a chránit i tyto Osobní údaje v souladu s požadavky vyplývajícími z GDPR a této Smlouvy.
3.4 Osobní údaje Subjektů údajů bude Zpracovatel zpracovávat nejdéle po dobu trvání této Smlouvy. Po uplynutí této doby budou Osobní údaje Zpracovatelem zpracovávány, pokud je to nezbytné pro ochranu práv a právem chráněných zájmů Zpracovatele, Správce, nebo jiné dotčené osoby, takové zpracování Osobních údajů však nesmí být v rozporu s právem Subjektů údajů na ochranu jejich soukromého a osobního života. Zpracovatel se zavazuje jednotlivé Osobní údaje nacházející se mimo webovou aplikaci Správce vymazat, jakmile pomine účel, pro který mu byly Osobní údaje zpřístupněny.
3.5 Pokud Zpracovatel zpracovává osobní údaje ve větším rozsahu, než jaký je uveden v Příloze č. 1 nebo po delší dobu, než jaká je uvedena v odst. 3.4 tohoto článku, platí, že takové zpracování neprovádí pro účely stanovené Správcem dle této Smlouvy a Správce za takové zpracování nenese odpovědnost.
4. ODMĚNA ZA SLUŽBY ZPRACOVATELE
4.1 Strany se dohodly, že za zpracování Osobních údajů dle této Smlouvy nenáleží Zpracovateli žádná odměna.
5. PRÁVA A POVINNOSTI ZPRACOVATELE
5.1 Zpracovatel je při zpracování Osobních údajů povinen postupovat s náležitou odbornou péčí tak, aby neporušil žádné ustanovení GDPR a nezpůsobil nic, co by mohlo představovat porušení GDPR či jiného právního předpisu.
5.2 Pokud by Zpracovatel zjistil, že Správce porušuje povinnosti vyplývající pro něj z GDPR, je ve smyslu čl. 28 odst. 3 GDPR povinen neprodleně Správce o této skutečnosti informovat.
5.3 Zpracovatel je povinen řídit se při zpracování Osobních údajů výhradně doloženými pokyny Správce. Zpracovatel je povinen upozornit Správce bez zbytečného odkladu na nevhodnou povahu pokynů, jestliže Zpracovatel mohl tuto nevhodnost zjistit při vynaložení veškeré odborné péče. Zpracovatel je v takovém případě povinen pokyny provést pouze na základě písemného požadavku Správce.
5.4 Zpracovatel je povinen dbát, aby žádný Subjekt údajů neutrpěl újmu na svých právech, zejména na právu na zachování lidské důstojnosti, a také dbá na ochranu před neoprávněným zasahováním do soukromého a osobního života Subjektů údajů.
5.5 Jakmile pomine účel, pro který byly Osobní údaje zpracovány, v případě odvolání souhlasu Subjektu údajů, v případě vznesení námitky dle čl. 21 GDPR nebo na základě žádosti Správce nebo Subjektu údajů podle čl. 16 GDPR, je Zpracovatel ve smyslu čl. 17 odst. 1 a 2 povinen vymazat Osobní údaje nebo tyto Osobní údaje předat zpět Správci, a to na základě a v souladu s pokyny Správce.
5.6 V případě, že se kterýkoli Subjekt údajů bude domnívat, že Správce nebo Zpracovatel provádí zpracování jeho Osobních údajů, které je v rozporu s ochranou soukromého a osobního života Subjektu údajů nebo v rozporu s právním předpisem, zejména budou-li Osobní údaje nepřesné s ohledem na účel jejich zpracování, a tento Subjekt údajů ve smyslu čl. 21 GDPR vznese námitku nebo v souladu s čl. 16 GDPR požádá Zpracovatele o opravu, zavazuje se Zpracovatel o tom neprodleně informovat Správce.
5.7 Zpracovatel je, pokud je to možné při zohlednění povahy zpracování, prostřednictvím vhodných technických a organizačních opatření nápomocen Správci při plnění povinnosti Správce reagovat na žádosti o výkon práv Subjektů údajů, zejména na žádost na přístup k Osobním údajům, na opravu či výmaz Osobních údajů, na omezení zpracování či na přenositelnost Osobních údajů.
5.8 Zpracovatel se zavazuje být Správci nápomocen v případě, že Správce bude mít povinnost provést posouzení vlivu na ochranu osobních údajů ve smyslu čl. 35 a 36 GDPR.
6. ZÁRUKY TECHNICKÉHO A ORGANIZAČNÍHO ZABEZPEČENÍ OCHRANY OSOBNÍCH ÚDAJŮ
6.1 Zpracovatel se zavazuje, že ve smyslu čl. 32 až 34 GDPR přijme s přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob veškerá technická a organizační opatření k zabezpečení ochrany Osobních údajů způsobem uvedeným v GDPR nebo v jiných závazných právních předpisech a k vyloučení možnosti neoprávněného nebo nahodilého přístupu k Osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití Osobních údajů. Tato povinnost platí i po ukončení zpracování Osobních údajů.
6.2 Zpracovatel se zavazuje zejména, nikoliv však výlučně, že přijme následující organizační a technická opatření:
(a) Zpracování Osobních údajů bude vykonávat osobně;
(b) Správce uděluje Zpracovateli obecný souhlas se zapojením třetích osob, které zpracovatel přijme jako další zpracovatele („dále jen „Další zpracovatel“). Na výzvu Správce Zpracovatel informuje Správce o veškerých třetích osobách, které Zpracovatel přijal jako Další zpracovatele, nebo pokud zamýšlí je jako další zpracovatele přijmout nebo jejich nahrazení, a poskytne tak Správci příležitost vyslovit vůči těmto změnám námitky. V případě, že Správce odmítne zapojení konkrétního Dalšího zpracovatele, Zpracovatel se zavazuje tomuto Dalšímu zpracovateli nepředávat Osobní údaje;
(c) bude používat odpovídající technické zařízení a programové vybavení způsobem, který vyloučí neoprávněný či nahodilý přístup k Osobním údajům ze strany jiných osob než Zpracovatele či Dalších zpracovatelů;
(d) nebude Osobní údaje žádným způsobem uchovávat;
(e) Osobní údaje si nebude žádným způsobem snažit zachytit, zejména je nebude opisovat, fotit, nahrávat ani žádným jiným způsobem si pořizovat kopie;
(f) zajistí dálkový přenos Osobních údajů buď pouze prostřednictvím veřejně nepřístupné sítě, nebo prostřednictvím zabezpečeného přenosu po veřejných sítích;
(g) při ukončení zpracování Osobních údajů oznámí Zpracovatel dle dohody Správci informaci o tom, že již zpracoval Osobní údaje dle Smlouvy o poradenství.
6.3 Zpracovatel je ve smyslu čl. 32 odst. 1 GDPR povinen provést technická a organizační opatření k zajištění ochrany Osobních údajů v souladu s GDPR a jinými právními předpisy. Zpracovatel se zavazuje poskytnout Správci na jeho žádost veškerou dokumentaci popisující a prokazující aktuální technická a organizační opatření Zpracovatele.
6.4 Zpracovatel se zavazuje zpracovávat Osobní údaje pouze na území Evropské unie. Osobní údaje mohou být zpracovávány mimo území Evropské unie pouze na základě výslovného písemného souhlasu Správce, o který Zpracovatel požádá s dostatečným předstihem. V případě, že Správce nevysloví souhlas s přenosem a zpracováním Osobních údajů mimo území Evropské unie, Zpracovatel není oprávněn tyto Osobní údaje přenášet mimo toto území.
6.5 Pokud Zpracovatel zapojí ve smyslu odstavce 6.2(b) Smlouvy Dalšího zpracovatele, aby provedl určité činnosti zpracování, musí být tomuto Dalšímu zpracovateli uloženy na základě smlouvy stejné povinnosti na ochranu údajů, jaké jsou uvedeny v této Smlouvě, a to zejména poskytnutí dostatečných záruk, pokud jde o zavedení vhodných technických a organizačních opatření tak, aby zpracování splňovalo požadavky GDPR či jiných právních předpisů. Neplní-li uvedený Další zpracovatel své povinnosti v oblasti ochrany osobních údajů, odpovídá Správci za plnění povinností dotčeného Dalšího zpracovatele i nadále plně Zpracovatel.
6.6 Zpracovatel se zavazuje poskytnout Správci veškeré informace potřebné k doložení toho, že byly splněny povinnosti zpracování osobních údajů prostřednictvím Dalších zpracovatelů, a umožnit audity, včetně inspekcí, prováděné Správcem nebo jiným auditorem, kterého Správce pověří, a k těmto auditům přispěje.
7. DOBA TRVÁNÍ A UKONČENÍ SMLOUVY
7.1 Tato Smlouva nabývá platnosti a účinnosti ke dni jejího podpisu oběma Stranami. Tato Smlouva se uzavírá na dobu poskytování Služeb dle Smlouvy o poradenství; v případě, že Strany v budoucnu uzavřou jinou smlouvu, v rámci níž může docházet mimo jiné i ke zpracování Osobních údajů, vyprší tato Smlouva současně se zánikem této jiné smlouvy, resp. se zánikem účinnosti poslední z takto uzavřených smluv.
7.2 Správce je oprávněn tuto Smlouvu vypovědět ve lhůtě tří (3) dnů v případě, že Zpracovatel poruší některou ze svých povinností podle této Smlouvy a toto porušení nenapraví do patnácti (15) dnů od písemného vyrozumění Správcem.
7.3 Zpracovatel je oprávněn tuto Smlouvu vypovědět ve lhůtě patnácti (15) dnů v případě, že Správce porušuje povinnosti vyplývající pro něj z GDPR a Správce nezjedná nápravu závadného stavu do patnácti (15) dnů od oznámení Zpracovatele dle článku 5.2 Smlouvy.
7.4 Povinnost zachování důvěrné povahy Osobních údajů trvá i po ukončení této Smlouvy.
8. ZÁVĚREČNÁ USTANOVENÍ
8.1 Bude-li kterékoli ustanovení této Smlouvy shledáno příslušným soudem nebo jiným orgánem neplatným, neúčinným, zdánlivým nebo nevymahatelným, bude takové ustanovení považováno za vypuštěné z této Smlouvy a ostatní ustanovení této Smlouvy budou nadále trvat, pokud z povahy takového ustanovení nebo z jeho obsahu anebo z okolností, za nichž bylo uzavřeno, nevyplývá, že je nelze oddělit od ostatního obsahu této Smlouvy. Strany v takovém případě uzavřou takové dodatky k této Smlouvě, které umožní dosažení výsledku stejného, a pokud to není možné, pak co nejbližšího tomu, jakého mělo být dosaženo původním neplatným, neúčinným, zdánlivým nebo nevymahatelným ustanovením.
8.2 Právní vztahy, závazky, práva a povinnosti vyplývající z této Smlouvy, jakož i dodatky k ní a její výklad a vztahy mezi Stranami neupravené touto Smlouvou, se řídí právním řádem České republiky, zejména GDPR a zákonem č. 89/2012 Sb., občanský zákoník, ve znění pozdějších předpisů.
8.3 Jakékoliv doplňky či změny této Smlouvy musí být učiněny formou písemných dodatků podepsaných oprávněnými zástupci obou Stran.
8.4 Strany potvrzují, že uzavřením této Smlouvy zanikají všechna předchozí právní jednání učiněná v jakékoli formě a podobě mezi Stranami týkající se předmětu této Smlouvy a nahrazují se právy a povinnostmi vyplývajícími z této Smlouvy.
8.5 Tato Smlouva je vyhotovena a podepsána elektronicky v českém jazyce, přičemž každá Strana obdrží jedno vyhotovení.
8.6 Nedílnou součást této smlouvy tvoří příloha s názvem: Rozsah zpracovávaných osobních údajů.
Datum:
Za Nadační fond Zlatý oříšek
Jméno:
Funkce:
Zpracovatel
Jméno:
PŘÍLOHA - ROZSAH ZPRACOVÁVANÝCH OSOBNÍCH ÚDAJŮ
Zpracovatel bude dle této Smlouvy zpracovávat pro Správce Osobní údaje Subjektů údajů zejména v následujícím rozsahu:
1) Osobní údaje soutěžícího přihlášeného do krajského kola soutěže Zlatý oříšek:
(a) Jméno a příjmení
(b) Datum narození
(c) Bydliště
(d) Obor činnosti
(e) Výsledky činnosti
(f) Zdravotní stav/hendikep
2) Osobní údaje zákonného zástupce soutěžícího přihlášeného do krajského soutěže Zlatý oříšek:
(a) Jméno a příjmení
(b) Datum narození
(c) Bydliště
(d) Telefon
(e) Email
(f) Rodinný vztah k soutěžícímu